Yönetişim ve Risk Yönetimi, BT Risk Yönetimi
Siber Düzenleme, AB Kurumlarının Riskleri Değerlendirmesini ve Olayları Rapor Etmesini Gerektiriyor
Akşaya Asokan (asokan_akshaya) •
10 Ocak 2024
Avrupa Birliği, ticaret bloğu kurumlarının artan dijital tehditlere ayak uyduramadığı yönündeki endişelerin ortasında, AB devlet kurumlarında siber güvenliği güçlendirmeyi amaçlayan zorunlu siber hijyene ilişkin bir düzenlemeyi kabul etti.
Ayrıca bakınız: İçeriden Gelen Tehditler: Saldırganın Geçerli Kimlik Bilgilerine Sahip Olması
Avrupa Komisyonu tarafından 2022’de önerilen Siber Güvenlik Yönetmeliği, AB kurumları, organları, ofisleri ve ajansları için tek tip siber uyumluluk gerekliliklerini ortaya koyuyor. Pazar günü yürürlüğe giren yasa, bilinen risklere karşı kontrollerin benimsenmesi ve düzenli siber güvenlik olgunluk değerlendirmeleri de dahil olmak üzere tüm kurumlara Eylül 2024’e kadar uymaları için süre tanıdı.
Düzenleme, CERT-EU’nun siber güvenlik yardımı ve bilgi alışverişi merkezi olarak rolünü güçlendiriyor. AB kurumları, olayla ilgili gizli olmayan bilgileri kurumla paylaşmalıdır. Ajansta şu anda yaklaşık 40 personel çalışıyor.
Tedbir, Rusya’nın Şubat 2022’de Ukrayna’yı işgalinin ardından Avrupa’nın kritik altyapısına yönelik siber saldırılara ilişkin endişelerin arttığı bir dönemde geldi (bkz.: Rus APT Hackerları Aktif Olarak Avrupalı NATO Müttefiklerini Hedef Alıyor).
Mayıs 2022’de bir Avrupa gözetim organı, Avrupa kurumlarının “tehditle orantılı bir siber hazırlık düzeyine” ulaşamadıkları sonucuna vardı.
Avrupa Sayıştayı, bir yıldan fazla süren bir soruşturmanın ardından birçok kurumun “bazı temel kontroller de dahil olmak üzere” iyi siber güvenlik uygulamalarını hayata geçirmediğini tespit etti. Bazı kurumların “siber güvenliğe açıkça yetersiz harcama yaptığı” belirtildi.
Yeni bir organ olan Kurumlararası Siber Güvenlik Kurulu artık düzenlemenin uygulanmasını izleyecek ve CERT-EU’yu denetleyecek.
Etkili siber risk yönetimi, IP ve e-posta adresleri gibi kişisel olarak tanımlanabilir bilgilerin işlenmesini gerektirdiğinden, düzenleme, CERT-EU’ya bu tür hassas bilgileri işleme ve saklama konusunda yasal yetki vermektedir. CERT-EU, etkilenen kullanıcıların gizliliğini korumak için gerekli önlemleri aldığından emin olmalıdır.
Yönetmelik uyarınca, yeni IICB yönetim kurulunun 8 Eylül’de faaliyete geçmesi planlanıyor. IICB ve CERT-EU’nun daha sonra politika uygulamasının durumuna ilişkin ilk raporlarını Ocak 2025’te sunmaları gerekecek.